10e anniversaire d’EBICS – Histoire d’un succès annoncé

L’année 2008 a été marquée par une évolution de taille : chaque entreprise en Allemagne avait enfin la certitude de pouvoir entrer en contact avec toutes les banques et caisses d’épargne via Internet à l’aide d’un protocole homogène et sécurisé de la banque électronique pour envoyer des virements, instaurer des prélèvements et d’autres ordres ou encore télécharger des informations de comptes.

Particulièrement importante pour les entreprises, la multibancarité a été garantie par l’accord relatif aux transferts de données (DFÜ agreement) institué par le comité allemand pour le secteur bancaire (DK), qui imposait à l’ensemble des institutions financières du pays de supporter un nouveau protocole harmonisé dénommé EBICS (Electronic Banking Internet Communication Standard) pour l’échange des données avec les entreprises à partir du 1er janvier 2008. Bien que la réussite d’EBICS fût prévisible dès cette époque, la véritable success-story qui a suivi ne manque pas de surprendre.

Aujourd’hui, EBICS s’est imposé en tant que standard européen pour la transmission sécurisée de données, non seulement dans la banque électronique avec les entreprises, mais aussi pour les paiements interbancaires. Et il semble en bonne voie de réaliser le même exploit s’agissant de certaines évolutions actuelles, comme l’Instant Payments. Mais nous y reviendrons plus tard.

La genèse d’EBICS

Dans les faits, EBICS a plus de 10 ans, puisque sa naissance remonte au 18 juillet 2003. En ce jour, la société SIZ GmbH a présenté au ZKA («Zentraler Kredit Ausschuss» = ancienne dénomination de la DK), réuni en session extraordinaire, un protocole de banque électronique basé sur l’Internet dénommé WOP, avec pour objectif de faire de ce protocole (ou tout du moins de son concept), la base d’un nouveau standard Internet multibanques pour l’ensemble de l’industrie bancaire allemande. Le DFÜ agreement mis en place par le ZKA garantissait un protocole multibanques dans les affaires avec les entreprises depuis 1995 (BCS-FTAM). Or, ce protocole de transfert de fichiers reposait sur le standard OSI FTAM pour liaisons X.25 et ISDN, et se révélait dépassé à l’ère de l’Internet. Malgré quelques tentatives, il n’avait jusqu’alors pas été possible d’établir un standard IP commun. Il existait certes des solutions propres à certaines entreprises (comme MultiWeb et MCFT) ou même à des fédérations (BCS-FTP), mais il leur manquait l’essentiel : la multibancarité. En ce 18 juillet 2003, le temps d’un nouveau standard semblait venu. Au cours de cette fameuse session extraordinaire, la DK a spontanément décidé la création d’un groupe de travail, chargé de développer un standard de communication et de sécurité commun multibanques basé sur IP. Les principes fondamentaux de WOP ont ainsi donné naissance à EBICS. Le concept initial élaboré par le groupe de travail a servi de base à la spécification EBICS 1.0, qui a pu être présentée dès la mi-2005.

EBICS n’a donc pas été une révolution, mais le fruit d’un processus évolutif. Les composants de BCS-FTAM ayant fait leurs preuves pendant plus de 10 ans ont été conservés et seuls les éléments qui ne correspondaient plus aux nouvelles technologies ont été remodelés. Le concept des types d’ordres et donc le principe de neutralité aux applications ont ainsi été maintenus, tout comme l’autorisation de données de paiement par le biais d’une signature électronique (SE). La principale nouveauté d’EBICS résidait dans le passage d’un protocole X.25 ou ISDN (utilisés par BCS-FTAM) a un protocole de communication moderne basé sur XML et les standards Internet. La SE a par ailleurs été étendue à un concept de signature électronique disjointe (VEU), qui permettait aux entreprises d’autoriser des ordres – par exemple ceux transmis de manière automatisée de leur comptabilité à la banque – en tout lieu et à tout moment par le biais d’une SE, y compris à partir d’appareils mobiles.

Initiatrice du développement d’EBICS en 2003, la société SIZ GmbH n’a depuis cessé d’accompagner son évolution. En 2005, elle est ainsi devenue le centre de commande du comité allemand pour le secteur bancaire pour EBICS (annexe 1 du DFÜ agreement) ainsi que pour les formats de fichiers dans la banque électronique et les transactions financières (annexe 3 de l’accord).
Le groupe Sparkasse a été le premier regroupement d’instituts financiers en Allemagne à supporter EBICS, et ce, dès 2006. En 2007, il a été suivi par des institutions coopératives et publiques, ainsi que par certaines grandes banques et instituts privés.

EBICS: tunnel sécurisé pour réseaux exposés

Le développement d’EBICS repose en grande partie sur un concept de sécurité exhaustif. Les données de la banque électronique et des transactions financières nécessitant une protection particulière, les menaces envisageables ont été analysées pour établir les exigences et mesures de sécurité d’EBICS, celles-ci visant à garantir la confidentialité, l’intégrité et l’authenticité des données au sein de réseaux potentiellement non sécurisés (comme l’Internet) à l’aide de mécanismes cryptographiques. La confidentialité et l’intégrité des données sont ici garanties par un processus de chiffrement spécifique à EBICS, qui en plus du cryptage TLS à l’échelon du transport, offre un chiffrement de bout en bout des données sensibles dans la banque électronique. L’authenticité de la communication est vérifiée à l’aide d’une signature d’authentification accompagnant chaque paquet de données. L’autorisation des paiements s’effectue exclusivement par le biais de signatures électroniques, les modèles d’autorisation appliqués dépendant alors des conventions contractuelles établies entre la banque et ses clients (signatures individuelles ou multiples, classes de SE, plafonds, etc.). Le concept de sécurité fait depuis l’objet de vérifications régulières et EBICS est modifié en cas de besoin, par exemple pour adapter le protocole aux nouvelles menaces et/ou normes techniques. Pendant toutes ces années, EBICS s’est révélé un standard particulièrement sûr, et il n’a à ce jour subit aucune attaque qui aurait été couronnée de succès.

Les caractéristiques innovantes d’EBICS pour la transmission sécurisée de données sensibles:



2008: introduction en Allemagne

Le grand jour est arrivé le 1er janvier 2008, date à partir de laquelle toutes les banques et caisses d’épargne allemandes s’engageaient à supporter EBICS côté banque, conformément aux stipulations du DFÜ agreement de la DK. Et les entreprises ont adopté le protocole bien plus rapidement qu’anticipé: une grande partie d’entre elles a en effet opéré la migration de BCS-FTAM vers EBICS dès la première année de son introduction. Apparemment, les avantages étaient tout simplement trop évidents. Le fulgurant succès d’EBICS s’explique par plusieurs facteurs : une vitesse de transmission bien plus élevée par rapport à FTAM, une intégration simplifiée au sein des réseaux des entreprises et des banques grâce à l’utilisation de standards Internet et la mise en œuvre de nouvelles caractéristiques comme la signature électronique disjointe. Mais ce qui a vraiment été déterminant pour les entreprises, c’est la multibancarité du protocole, garantie dès le début par le DFÜ agreement de la DK. La transition a en outre été facilitée par des scénarios de migration directement implémentés dans le protocole, qui permettaient de convertir les clés pour la signature électronique de BCS-FTAM à EBICS pour ainsi dire en quelques clics.

EBICS s’établit en tant que protocole interbancaire

La conception sécurisée d’EBICS, permettant la transmission rapide et sure de grandes quantités de données, est rapidement devenue notoire. Il n’est donc guère surprenant que le protocole se soit également établi en tant que standard de communication pour les paiements interbancaires. C’est ici la Bundesbank allemande qui a fait office de précurseur, puisqu’elle a introduit EBICS dès 2008 en tant que protocole de communication pour son SEPA-Clearer (dans le cadre du système EMZ – le paiement de masse électronique). Aujourd’hui, EBICS est tout simplement devenu indispensable pour assurer les échanges sécurisés entre les banques et les organismes de clearing. Outre la Bundesbank, ABE Clearing mise également sur EBICS dans son système de paiement STEP2. Et le protocole fait depuis des années référence pour le clearing bilatéral entre les banques – également désigné «garage clearing».

Par ailleurs, EBICS a rapidement été utilisé pour la livraison de données par les centres informatiques prestataires et une directive ad hoc concernant le support d’EBICS dans ce domaine a été émise par la DK en 2009.

EBICS devient un standard international

En quête d’un nouveau protocole de communication sécurisé basé sur IP, l’industrie bancaire française (CFONB) a découvert l’existence d’EBICS dès la fin 2006. Un peu comme en Allemagne, il s’agissait de remplacer un standard vieillissant (ETEBAC) par un protocole capable de relever les défis futurs. Après examen minutieux des différentes alternatives, c’est EBICS qui s’est révélé le protocole le mieux adapté et un accord de coopération entre les industries bancaires françaises et allemandes a été conclu en 2008. EBICS SCRL, la société européenne EBICS, a été fondée sous droit belge à Bruxelles à l’été 2010. De nos jours, EBICS est largement utilisé en France et y connaît tout autant de succès qu’en Allemagne. Après la création de la société EBICS, SIZ est devenu le bureau technique officiel (centre de commande EBICS européen) et coordonne depuis l’EBICS Working Group – la commission chargée du développement d’EBICS.

L’introduction d’EBICS en France a cependant été synonyme d’apparition de deux « dialectes » différents dans les deux pays. Adoptant une approche particulièrement pragmatique, il a en effet été constaté que des exigences différentes dans les deux pays allaient nécessairement mener à la naissance de différentes variantes du standard EBICS. Ces divergences concernent notamment la représentation des opérations métier, identifiés en Allemagne par des classes de type d’ordre à trois chiffres et en France par des paramètres de format. Mais il existe aussi d’autres distinctions, comme l’utilisation en France de clés cryptographiques au standard X.509, alors qu’en Allemagne, l’on favorise toujours un format propriétaire repris de BCS-FTAM. Si l’on «parle» EBICS dans les deux pays, la compatibilité transfrontalière s’est révélée compliquée – l’on parlait et l’on parle toujours deux dialectes différents.

Cette lacune est devenue encore plus évidente avec l’adhésion d’un autre pays à la société EBICS en 2015 – la Suisse. Pour cette dernière, le dilemme consistait à choisir lequel des deux dialectes elle devait adopter, ou s’il était préférable d’opter pour une troisième variante helvétique.

Il était évident que l’existence de différents dialectes d’EBICS ne favorisait guère la diffusion souhaitée du standard en Europe. La solution ne pouvait être autre qu’une harmonisation, qui a fini par être lancée avec la nouvelle version EBICS V3.0. Celle-ci a notamment mené à l’introduction des BTF («Business Transaction and Formats») une nomenclature porteuse d’avenir, flexible et surtout homogène des opérations métier dans EBICS. D’autres harmonisations importantes ont par la suite été apportées à EBICS, faisant du protocole un standard unique à l’échelle internationale. Pour les paiements électroniques, il est en effet crucial que les différents partenaires puissent communiquer, se comprendre et se faire confiance. La compréhension est notamment garantie par des formats de données SEPA harmonisés et la nomenclature unique des BTF dans EBICS. La confiance quant à elle repose sur EBICS en tant que standard de communication et de sécurité commun. EBICS V3.0 est d’ores et déjà validé et son introduction pourra commencer à l’automne 2018. En Allemagne, le DFÜ agreement prévoit que la version sera obligatoire pour tous les instituts de la DK à partir de 2021.

10 ans d’EBICS: rétrospective et perspectives

Aujourd’hui, nous pouvons revenir sur 10 ans d’EBICS en Allemagne. Ce qui a commencé comme tentative de fédérer différentes évolutions incompatibles de banque électronique en Allemagne et de garantir la multibancarité pour les entreprises à l’ère de l’Internet s’est finalement mué en véritable success-story, s’affranchissant même des frontières nationales. En tant que standard sécurisé pour l’échange de données, EBICS est réputé dans le monde entier, et il est également utilisé dans des pays qui n’ont pas (encore) adhéré à la société EBICS. Désormais, EBICS est non seulement un protocole assurant la communication entre les banques et leurs clients, mais aussi un standard établi pour les paiements interbancaires. Et il semble certain qu’il jouera un rôle important aussi bien pour la remise d’Instant Payments que pour leur clearing.

Mais quelles sont les raisons de ce succès ? Personnellement, je pense que les points suivants sont déterminants:
  • La neutralité aux applications
    EBICS est un standard générique, capable de transmettre les données les plus diverses, puisque sa modélisation n’intègre ni formats ni spécifications bancaires spécifiques. Il peut ainsi être utilisé dans différents pays et scénarios d'application, en toute simplicité.
  • La sécurité
    EBICS combine plusieurs procédés cryptographiques indépendants pour garantir la confidentialité des données, authentifier les partenaires et la communication ainsi que pour autoriser les ordres, faisant de lui un tunnel sécurisé pour réseaux exposés.
  • La multibancarité
    EBICS est un protocole multibanques, en Allemagne comme en France. En Allemagne, la multibancarité est garantie par le DFÜ agreement institué par la DK.
  • L’adaptabilité
    En tant que standard ouvert, l’architecture d’EBICS peut être adaptée aux exigences les plus diverses. Et la société EBICS veille à la pérennité de son développement.
EBICS peut déjà s’enorgueillir d’une longue histoire, qui remonte au-delà des 10 ans écoulés depuis son introduction obligatoire en Allemagne. Et cette histoire est loin d’être terminée! En tant que standard de communication ouvert et sécurisé, EBICS est taillé pour le futur. La certitude que les décisions fondamentales qui ont présidé au développement d’EBICS restent d’actualité et que la flexibilité du protocole lui permet de s’adapter à de nouvelles exigences a en effet de quoi susciter l’optimisme – EBICS restera un élément essentiel pour les paiements électroniques en Europe.

Dieter Schweisfurth

Responsable Electronic Banking
SIZ GmbH

0 commentaires:

Enregistrer un commentaire